首页 > 其他分享 >华为交换机使用高级ACL限制不同网段的用户互访案例

华为交换机使用高级ACL限制不同网段的用户互访案例

时间:2024-11-12 09:44:31浏览次数:3  
标签:10.1 LSW1 网段 32 GigabitEthernet0 ACL bytes 交换机 100.1

1.组网需求

如下图网络拓扑,某公司通过交换机LSW1实现各部门之间的互连。为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。同时为了隔离广播域,又将两个部门划分在不同VLAN之中。现要求LSW1既能够限制两个网段之间互访,又不影响两个部门访问外网。

2.配置思路

按如下思路在上图中的S5700交换机上进行配置:

1)配置高级ACL

2)配置基于ACL的流分类,对研发部与市场部互访的报文进行过滤。

2)配置流行为,拒绝匹配上ACL的报文通过。

3)配置并应用流策略,使ACL和流行为生效。

3.配置步骤

交换机LSW1:

<Huawei> system-view

[Huawei]sysname LSW1

[LSW1]un in en //关闭信息显示

[LSW1]vlan batch 10 20 //新建VLAN

[LSW1]int g0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 10

[LSW1-GigabitEthernet0/0/1]int g0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 20

[LSW1-GigabitEthernet0/0/2]quit

[LSW1]int vlanif 10

[LSW1-Vlanif10]ip address 10.1.1.1 24

[LSW1-Vlanif10]int vlanif 20

[LSW1-Vlanif20]ip add 10.1.2.1 24

[LSW1-Vlanif20]q

[LSW1]acl 3001 //配置ACL

[LSW1-acl-adv-3001]rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[LSW1-acl-adv-3001]rule 10 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[LSW1-acl-adv-3001]q

[LSW1]traffic classifier mycon3001  //配置流分类

[LSW1-classifier-mycon3001]if-match acl 3001

[LSW1-classifier-mycon3001]q

[LSW1]traffic behavior mybh3001 //配置流行为,拒绝报文通过

[LSW1-behavior-mybh3001]deny

[LSW1-behavior-mybh3001]q

[LSW1]traffic policy mypo3001 //配置流策略,关联流分类和流行为

[LSW1-trafficpolicy-mypo3001]classifier mycon3001 behavior mybh3001

[LSW1-trafficpolicy-mypo3001]q

[LSW1]int g0/0/1 //应用流策略

[LSW1-GigabitEthernet0/0/1]traffic-policy mypo3001 inbound

[LSW1-GigabitEthernet0/0/1]q

[LSW1]int g0/0/2  //应用流策略

[LSW1-GigabitEthernet0/0/2]traffic-policy mypo3001 inbound

[LSW1-GigabitEthernet0/0/2]q

[LSW1]vlan batch 100

[LSW1]int g0/0/24

[LSW1-GigabitEthernet0/0/24]port link-type access

[LSW1-GigabitEthernet0/0/24]port default vlan 100

[LSW1-GigabitEthernet0/0/24]int vlanif100

[LSW1-Vlanif100]ip add 10.1.100.254 24

[LSW1-Vlanif100]q

[LSW1]q

<LSW1>save

路由R1配置:

<Huawei>sys

[Huawei]sys R1

[R1]un in en

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 10.1.100.1 24

[R1-GigabitEthernet0/0/1]q

[R1]ip route-static 0.0.0.0 0.0.0.0 10.1.100.254  //配置静态路由

[R1]q

<R1>sa

4.结果验证

PC1 ping PC2:

PC>ping 10.1.2.10

Ping 10.1.2.10: 32 data bytes, Press Ctrl_C to break

Request timeout!

Request timeout!

Request timeout!

Request timeout!

Request timeout!

--- 10.1.2.10 ping statistics ---

  5 packet(s) transmitted

  0 packet(s) received

  100.00% packet loss

PC1 ping 出口路由网关地址:

PC>ping 10.1.100.1

Ping 10.1.100.1: 32 data bytes, Press Ctrl_C to break

From 10.1.100.1: bytes=32 seq=1 ttl=254 time=109 ms

From 10.1.100.1: bytes=32 seq=2 ttl=254 time=46 ms

From 10.1.100.1: bytes=32 seq=3 ttl=254 time=31 ms

From 10.1.100.1: bytes=32 seq=4 ttl=254 time=32 ms

From 10.1.100.1: bytes=32 seq=5 ttl=254 time=47 ms

--- 10.1.100.1 ping statistics ---

  5 packet(s) transmitted

  5 packet(s) received

  0.00% packet loss

  round-trip min/avg/max = 31/53/109 ms

PC2 ping PC1:

PC>ping 10.1.1.10

Ping 10.1.1.10: 32 data bytes, Press Ctrl_C to break

Request timeout!

Request timeout!

Request timeout!

Request timeout!

Request timeout!

--- 10.1.1.10 ping statistics ---

  5 packet(s) transmitted

  0 packet(s) received

  100.00% packet loss

PC2 ping 出口路由网关地址:

PC>ping 10.1.100.1

Ping 10.1.100.1: 32 data bytes, Press Ctrl_C to break

From 10.1.100.1: bytes=32 seq=1 ttl=254 time=31 ms

From 10.1.100.1: bytes=32 seq=2 ttl=254 time=63 ms

From 10.1.100.1: bytes=32 seq=3 ttl=254 time=31 ms

From 10.1.100.1: bytes=32 seq=4 ttl=254 time=31 ms

From 10.1.100.1: bytes=32 seq=5 ttl=254 time=32 ms

--- 10.1.100.1 ping statistics ---

  5 packet(s) transmitted

  5 packet(s) received

  0.00% packet loss

  round-trip min/avg/max = 31/37/63 ms

标签:10.1,LSW1,网段,32,GigabitEthernet0,ACL,bytes,交换机,100.1
From: https://blog.csdn.net/zqyqdn2021/article/details/143688858

相关文章

  • 导图-Oracle基础之网络监听器
    关于Jady:★工作经验:近20年IT技术服务经验,熟悉业务又深耕技术,为业务加持左能进行IT技术规划,右能处理综合性故障与疑难杂症;★成长历程:网络运维、主机/存储运维、程序/数据库开发、大数据运维、数据库运维、数据管理;★擅长技术:Oracle/MySQL/PGSQL/SQLServer/ClickHouse/Elastic......
  • 使用ob_tools包收集分析oceanbase数据库oracle租户缓慢sql语句
    概述1、手册目的:本手册旨在提供一种系统化的方法论,以便发现和分析慢SQL语句。通过使用ob_tools包,收集和分析在交付期间,应用程序在不同场景下进行压测时所产生的慢SQL语句,从而实现性能调优和优化建议。2、文档内容:本手册包含以下几个主要部分:1.ob_tools包内存储过程和函数介......
  • oracle的静态注册和动态注册
    问题一:什么是静态注册和动态注册静态注册:用酒店的例子,静态注册就像是酒店的前台,什么时候去都有人在,有没有房间需要你先询问,然后她再查看。如果有就可以入住了。静态注册就是这样,监听程序就是前台,前台不知道实例的任何信息,只有客户请求时才检查实例是否存在。动态注册:用蹲坑......
  • 以太网链路聚合与交换机堆叠、集群
    一、网络可靠性需求网络的可靠性可以从单板、设备、链路多个层面实现。1.单板可靠性2.设备可靠性3.链路可靠性二、链路聚合技术原理与配置1.以太网链路聚合Eth-Trunk基本原理链路聚合,通过将多个物理接口捆绑成为一个逻辑接口,可以在不进行硬件升级的条件下,达到增加......
  • Oracle Database 23ai 中的大文件表空间收缩
    一、创建测试环境我们需要一个表空间来运行一些测试。在Oracle数据库23ai中,表空间的默认文件大小是bigfile,因此我们不需要显式指定它。1.1创建测试用户1)创建用户sqlplussys/oracle@db1:1521/freepdb1assysdba--创建测试的用户和表空间dropuserifexistsreclaim_......
  • postgresql事务与oracle中的事务差异
    事务事务ID及回卷参见postgresql中的事务回卷原理及预防措施。子事务(事务处理:概念与技术4.7)  子事务具有ACI特性,但是不具有D特性。只会在主事务提交时,才会提交,无法单独提交。pg不支持子事务。xact保存点保存点是不支持子事务/嵌套事务时的折中实现,但它是ANSISQL......
  • Linux中关于useradd、chmod、chown、getfacl、setfact等权限设置
    文章目录一、Linux用户管理1、用户(user)、用户组(group)、其他用户概念(other)1.1理解Linux的`单用户多任务`,`多用户多任务`概念1.2用户(user)和用户组(group)概念;查看主机名和修改主机名需要root权限(然后输入密码)2.1创建用户2.1.1用adduser创建用户3、删除用户查看用户列......
  • 华为S系列交换机如何通过普通业务口搭建堆叠系统?
    堆叠简介堆叠是指将一台以上的交换机组合起来共同工作,以便在有限的空间内提供尽可能多的端口,通过堆叠,可以将多个物理交换机的处理能力组合成一个单一逻辑设备,从而显著提高网络性能,包括更高的带宽、更低的延迟和更快的数据传输速度。如下组网图由SwitchA、SwitchB和SwitchC三台......
  • 华为数据中心CE系列交换机级联M-LAG配置示例
    M-LAG组网简介M-LAG(Multi-chassisLinkAggregation)技术是一种跨设备的链路聚合技术,它通过将两台交换机组成一个逻辑设备,实现链路的负载分担和故障切换,从而提高网络的可靠性和稳定性。下面给大家详细介绍如何在华为交换机上进行M-LAG配置。在配置M-LAG之前,我们需要确认交换机......
  • 07 Oracle数据库恢复基础解析:从检查点到归档,一步步构建数据安全防线
    文章目录Oracle数据库恢复基础解析:从检查点到归档,一步步构建数据安全防线一、检查点(Checkpoint)1.1检查点定义1.2检查点重要性1.3检查点工作原理1.4手动触发检查点二、日志(RedoLog)2.1日志定义2.2日志重要性2.3查看当前使用的Redo日志成员三、归档机制(Archiving)3......